Bugeja seuraavasta Bugzillasta löytyi bugi, Perl-haavoittuvuus riski webbiohjelmien turvallisuudelle
Tietoturvallisuusyritys Check Point Software on löytänyt Perl-ohjelmointikielestä uusia haavoittuvuuksia. Perlillä ohjelmoidut webbiohjelmat, kuten bugien seurantaan tarkoitettu Bugzilla, voivat olla haavoittuvuuksien myötä alttiita uudenlaisille hyökkäyksille.
Demonstroidakseen haavoittuvuuksia Check Point Software käytti hyväkseen Bugzilla-ohjelmaa, joka on usean eri yhtiön käyttämä bugien seurantaohjelma. Bugzillan käyttäjätietokantaa huijaamalla yhtiö kykeni luomaan luvatta järjestelmänvalvojatason tunnukset Mozilla.com-, Mozilla.org-, Bugzilla.org- ja Bugilla.bugs-sivustoille. Bugzilla on ehtinyt jo julkaista päivityksen, jonka pitäisi tilkitä löydetyt haavoittuvuudet.
”Kyse ei ole SQL injection -hyökkäyksestä, vaan jostain täysin uudesta. Hyökkäys oli osa tietyn Perl-ongelman tutkimusta, jonka parissa olemme työskennelleet pari kuukautta. Bugzilla on hyvä esimerkki, mutta se ei ole ainut projekti josta löysimme haavoittuvuuksia”, kertoi Check Point Softwaren tutkijatiimin johtaja, Shahar Tal.
Bugzillan tapauksessa uusien järjestelmätason tunnusten luvaton luonti ei kuitenkaan onnistunut pelkkien Perl-haavoittuvuuksien myötä, vaan sitä edesautti yleinen käyttäjätietokantojen hallintaa helpottava tapa. Suhteellisen yleisen tavan mukaan tietokantaan luodut uudet tunnukset voidaan määritellä saamaan automaattisesti tietyn käyttäjätason oikeudet. Bugzillan tapauksessa esimerkiksi bugzilla.org-päättyvät sähköpostiosoitteet saivat automaattisesti järjestelmänvalvojatason oikeudet. Perlin haavoittuvuuden myötä Check Point Softwaren tutkijat onnistuivat ohittamaan uuden käyttäjätunnuksen sähköpostivarmennuksen ja saamaan järjestelmänvalvojatason tunnukset suoraan käyttöön.
Mozillan Gervase Markhamin mukaan ohjelmointikaava, joka mahdollisti turvallisuusongelman esiintyy Bguzillan koodissa viiteentoista kertaa. Neljä näistä olivat alttiita hyökkääjille. Markham suositteleekin kaikkia Perl-webbiohjelmia käyttäviä tarkistamaan ohjelmansa kyseisen ohjelmointikaavan varalta. Check Point Softwaren mukaan ainakin isot yritykset reagoivat ongelmaan nopeasti ja ovat jo päivittäneet järjestelmänsä. Tutkimuksesta julkaistaan lisää tietoa Chaos Communications Congress -tapahtumassa Saksassa myöhemmin tänä vuonna.
Ars Technica, Bugzilla 0-day can reveal 0-day bugs in OSS giants like Mozilla, Red Hat
Check Point Software Technologies, Bug in the Bug Tracker
Hacking for Christ, New Class of Vulnerability in Perl Web Applications
